Используем DLP в интересах работника
О пирогах и плюшках DLP-систем для защиты интересов работодателя не писал разве что Шекспир. А вот рассказа о том, как с их помощью сработать в интересах сотрудников, мы пока не встречали, потому и решили восполнить пробел. Но сама тема, на наш взгляд, будет интересна не только сотрудникам, но и руководству компаний, где уже внедрена и успешно работает система защиты данных от утечек (DLP).
В общем, если вам наплевать на собственный персонал, то можете смело НЕ ЧИТАТЬ нашу статью. А с теми, кто стремится удержать профессиональные кадры (ведь сегодня они прямо-таки на вес золота), мы поделимся боевым опытом, накопленным в ходе пилотных проектов и в процессе эксплуатации этих умных систем.
Кейс 1. Несвоевременная подача сведений о премировании
Возьмем условное предприятие N, в котором уже давно и эффективно реализуется перечень положений о премировании сотрудников: за выслугу лет, за рождение детей, за успешное выполнение сложных проектов и т. п. Но вдруг происходит сбой – несколько человек не получили вовремя положенного вознаграждения. В чем дело? Директор-то своевременно отдал распоряжение о выделении средств!
Как разобраться в причинах произошедшего с помощью DLP и предупредить демотивацию сотрудников?
Современные DLP-системы позволяют контролировать движение информации, разделяя ее на различные виды информационных объектов. По сути это типы информации, имеющие ключевое значение для бизнеса и требующие особого внимания со стороны службы безопасности: финансовые документы, резюме, стратегические планы, протоколы совещаний и т. п. С помощью карты коммуникаций информационных объектов (см. рис. 1) можно увидеть, по каким каналам и сколько раз был передан тот или иной документ за интересующий нас период времени. Переход непосредственно в карточку информационного объекта (в данном случае приказ о поощрении) позволяет, во-первых, точечно проанализировать, кто из сотрудников с ним работал и совершал какие-либо действия, например печатал на принтере или копировал на USB-носитель. А во-вторых, провести расследование и выяснить, кто из ответственных сотрудников вовремя не выполнил прописанные в регламенте оформления премий действия, что и затормозило весь процесс (рис. 2 и 3).
Рис. 1. Карта коммуникаций информационных объектов
Рис. 2. Карточка информационного объекта
Рис. 3. Расследование в отношении персоны
Кейс 2. Предотвращение внутренних корпоративных конфликтов и унижения чести и достоинства работников предприятия
К сожалению, в российских компаниях руководители частенько позволяют себе оскорбительные высказывания в адрес подчиненных. Причем не только в устной форме, но и в корпоративной переписке. В особенности этим страдают менеджеры среднего звена – руководители подразделений. Такие действия, согласно законодательству РФ, квалифицируются как административные правонарушения и наказываются штрафами. Сотрудники начинают саботировать выполнение поставленных таким горе-руководителем задач, компания теряет ценные кадры и т. п. Словом, ущерб налицо. Но как владельцу бизнеса выяснить, а главное – получить документальные подтверждения подобного поведения руководителя подразделения?
Продвинутые DLP-системы, как правило, располагают справочником конфликтной лексики. Так, в стенах сельскохозяйственной академии слово «лох» не будет считаться оскорблением, поскольку оно означает род деревьев и кустарников семейства лоховых, а во всех остальных сферах, в частности электронных коммуникациях (корпоративной почте или мессенджерах), DLP-система сразу же выявит факт его неправомерного употребления. Таким образом, в организациях, где данный термин является профессионализмом (как в приведенном случае), можно поместить его в «исключения», чтобы не отвлекаться на ложные срабатывания.
Своевременно проведенное расследование и принятие соответствующих организационных мер позволит предотвратить конфликт и сохранить ценные кадры.
Рис. 4. Срабатывание правила по словарям конфликтной лексики
Рис. 5. Построение коммуникаций Skype в виде беседы
Кейс 3. Выявление мошеннических действий со стороны членов профкома в ущерб интересам работников
К сожалению, в практике профсоюзных организаций нередки случаи использования служебного положения в мошеннических целях. Например, при распределении путевок на отдых и лечение. Схема проста: выделение путевки работнику, находящемуся в конце списка, или же вообще в обход списка (кому путевка не положена). Естественно, не за красивые глаза… От такой «деятельности» страдают все очередники, особенно те, кто годами ожидает своей путевки.
DLP-система позволяет выявлять в анализируемом трафике терминологию, характерную для деятельности профсоюзных организаций, свидетельствующую о подобного рода активности. Причем качественно настроенная система сработает не только на профессионализмы, но и на связку наиболее часто употребляемых слов, например «путевка – 10% от стоимости – за срочность еще 5», то есть сработает с учетом контекста.
Рис. 6. Выявление мошеннических действий с помощью контентного и контекстного анализа
Кейс 4. Анализ внутреннего климата в коллективе
Зачастую после кадровых изменений в составе топ-менеджмента предприятия некоторые сотрудники, даже самые добросовестные и эффективные, позволяют себе высказывания типа: «Вот очередной варяг нарисовался, работает без году неделю, а вы видели, на какой машине уже приехал?! Ну точно будет воровать». Подобные «вбросы» способны серьезно ухудшить рабочую атмосферу и сказаться на эффективности работы предприятия в целом.
С помощью DLP-системы владельцы бизнеса могут своевременно отследить такого рода тенденции, понять, почему у руководителя сложилась негативная репутация и какие шаги необходимо предпринять для оздоровления обстановки. Системы защиты от утечек способны выявлять в корпоративном трафике слова и выражения, свидетельствующие об ухудшении внутреннего климата, регистрировать аномалии коммуникаций, в частности резкий рост объема сообщений в мессенджерах. Вся эта информация в совокупности (см. рис 7, 8 и 9) составит полную картину происходящих в компании негативных изменений, из которой аналитик службы ИБ сделает соответствующие выводы и доведет их до руководства.
Рис. 7. Отображение в интерфейсе DLP-системы всех объектов с демотивирующими высказываниями
Рис. 8 и 9. Детектирование демотивирующей переписки в мессенджерах
Кейс 5. Дискредитация учетных записей сотрудников
Подобные кейсы часто встречаются на пилотных проектах внедрения DLP-систем. Сотрудники в рамках взаимопомощи (кто-то приболел, ушел в отпуск, а боссу срочно понадобились хранящиеся локально данные, и т. п.) «кидают» коллегам логины-пароли от своих учетных записей в корпоративной сети. А спустя некоторое время из такого «переданного» аккаунта совершается, нелегитимное действие – например, копирование на внешние носители строго конфиденциальной информации (см. на скриншотах ниже). Здесь будет крайне сложно доказать, что пароль был дискредитирован.
Чем в этой ситуации поможет DLP-система? Прежде всего по специальному набору ключевых слов она выявит в потоке трафика факт передачи связки «логин-пароль» и зафиксирует его. А во-вторых, представит документальные подтверждения каждого звена в цепи последовавших в результате компрометации учетки событий.
Рис. 10. Выявление передачи по корпоративной почте пароля от учетной записи
Рис. 11. Фиксирование факта настройки сотрудником уведомления об отсутствии на рабочем месте
Рис. 12. Фиксирование факта скачивания pdf-файла из аккаунта сотрудника в период его пребывания в отпуске
Рис. 13. Подтверждение факта отсутствия упомянутого сотрудника в стране в исследуемый период
Рис. 14. Фиксация всех видов активности в аккаунте сотрудника в исследуемый период
Рис. 15. Детальная информация по всем эпизодам коммуникации из аккаунта сотрудника во время его нахождения в отпуске
Подведем итоги
Мы привели лишь часть наиболее распространенных сценариев использования DLP в интересах работников. Если у вас есть что добавить в копилку подобных кейсов, пожалуйста, делитесь ими в комментариях. Ведь, как показывает практика, в большинстве случаев службы информационной безопасности не используют и половину функциональности внедренных в компаниях DLP-систем. А многие возможные сценарии применения DLP просто неочевидны для заказчиков, хотя способны принести очень большую пользу и руководству, и ИБ-подразделению, и рядовым сотрудникам.
Опубликовано 04.12.2019